TLS (zuvor SSL genannt) kann auf dem Webserver für Netzwerk-Frontpanel und dem Webserver für Anwendungen aktiviert werden. Mit Hilfe von TLS-/SSL-Verschlüsselung lassen sich sichere Verbindungen für den Austausch von Daten zwischen Clients und dem Webserver herstellen.

Hinweis Die TLS-/SSL-Verschlüsselung steht nur im LabVIEW Full Development System und LabVIEW Professional Development System zur Verfügung.

In TLS/SSL verwendete Zertifikate

TLS/SSL stellt mittels X.509-Zertifikaten sichere Verbindungen zwischen dem Client und dem Server her.

Zertifikate sind digitale Dateien mit Kennungsdaten des Servers, einem öffentlichen Schlüssel und einer digitalen Unterschrift. Beispiele für Kennungsdaten sind Servername, Ablaufdatum und Ländereinstellung. Der öffentliche Schlüssel ist ein String aus Zeichen für die Erzeugung der Verschlüsselung und mit der digitalen Signatur wird die Authentizität des Zertifikats bestätigt. Die Signatur kann vom Ersteller des Zertifikats hinzugefügt werden (selbstsigniertes Zertifikat) oder von einer Zertifizierungsstelle (CA - Certificate Authority), wobei es sich um eine Organisation handelt, die digitale Zertifikate herausgibt.

Wenn ein Client versucht, eine sichere Verbindung zum Server herzustellen, wird dieses Zertifikat bereitgestellt. Der Client bestätigt die Authentizität des Zertifikats mit Hilfe eines Webbrowsers. Der Webbrowser vergleicht die Authentizität des Zertifikats mit einer Liste von Stammzertifikaten von bekannten Zertifizierungsstellen und zeigt die entsprechenden Eingabeaufforderungen zum Akzeptieren oder Ablehnen des Zertifikats an. Wenn der Client das Zertifikat akzeptiert, findet eine verschlüsselte Kommunikation mit dem Server basierend auf dem öffentlichen Schlüssel statt. Der Server verwendet dann für die Entschlüsselung einen privaten Schlüssel, der zusammen mit dem Zertifikat erstellt wurde. Es liegt nun eine sichere verschlüsselte Verbindung zwischen dem Client und Server vor.

Achtung Der private Schlüssel verbleibt auf dem System mit dem Webserver. Er wird weder dem Client noch der CA bereitgestellt. Der Schlüssel garantiert die Integrität der verschlüsselten Verbindung und muss auf dem System bleiben, auf dem das Zertifikat ursprünglich erzeugt wurde. Wenn die Integrität des privaten Schlüssels nicht mehr gegeben ist, verwenden Sie das zugehörige Zertifikat nicht mehr.

Aktivieren der TLS-/SSL-Verschlüsselung

Aktivieren Sie die TLS-/SSL-Verschlüsselung für Webdienste auf der Seite Webkonfiguration für den Webserver von Anwendungen. Die TLS-/SSL-Verschlüsselung für Netzwerk-Frontpanel kann im Dialogfeld Optionen aktiviert werden. Wenn Web-Clients eine Verbindung mit Webdiensten oder mit Netzwerk-Frontpaneln herstellen und dabei die TLS-/SSL-Verschlüsselung aktiviert sein soll, muss das https://-Protokoll verwendet werden. Die URL https://localhost:443 stellt beispielsweise eine Verbindung zum Webserver mit aktivierter TLS-/SSL-Verschlüsselung an Port 443 her.

Erstellen eines selbstsignierten TSL-/SSL-Zertifikats

Selbstsignierte Zertifikate erlauben die sofortige Verwendung der TLS-/SSL-Verschlüsselung, ohne dass eine CA Ihr Zertifikat digital signieren muss. Da ein solches Zertifikat vom Ersteller selbst unterschrieben wird, lässt sich die TLS-/SSL-Verschlüsselung auf diese Weise am schnellsten in LabVIEW einbinden. Mit selbstsignierten Zertifikaten können Sie auch ein System testen, bevor Sie ein CA-Zertifikat erhalten. In Webbrowsern können selbstsignierte Zertifikate beim Zugriff des Clients auf den Webserver zu zusätzlichen Eingabeaufforderungen führen.

Sie können das selbstsignierte LabVIEW-Standardzertifikat verwenden, das LabVIEW bei Aktivierung von TLS/SSL erstellt.

Selbstsigniertes Standardzertifikat von LabVIEW

Wenn die TLS-/SSL-Verschlüsselung aktiviert ist, erstellt LabVIEW ein selbstsigniertes Standardzertifikat, so dass Sie kein neues Zertifikat erstellen oder eine Zertifikatsregistrierungsanforderung (CSR) senden müssen. Wenn Sie bei der Aktivierung der TLS-/SSL-Verschlüsselung kein benutzerdefiniertes Zertifikat auswählen, arbeitet LabVIEW mit dem Standardzertifikat.

Das selbstsignierte Standardzertifikat ist 10 Jahre ab Erstellungsdatum gültig.

Sie finden das selbstsignierte Standardzertifikat im Verzeichnis (Windows 7) C:\ProgramData\National Instruments\certstore\server_certs\server_0.cer.

Verwenden des Utilitys "NI-Webkonfiguration und Überwachung" mit TLS/SSL

Um im Utility "NI-Webkonfiguration und Überwachung" selbstsignierte Zertifikate und CSRs zu erstellen, klicken Sie auf die Registerkarte Verwaltung von SSL-Zertifikaten auf der Seite Webserver-Konfiguration. Ausführlichere Informationen zu folgenden Abläufen finden Sie in der Hilfe zum Utility "NI-Webkonfiguration und Überwachung":

  • Erstellen eines selbstsignierten Zertifikats
  • Erstellen einer Zertifikatsregistrierungsanforderung
  • Erstellen eines Zertifikats von einer CSR

Erstellen einer Zertifikatsregistrierungsanforderung

Sie können eine Zertifikatsregistrierungsanforderung (CSR) erstellen, um ein Zertifikat von einer Zertifizierungsstelle (CA - Certificate Authority) mit einer digitalen Signatur autorisieren zu lassen. Bei der CA handelt es sich um eine Organisation, die die Authentizität von Zertifikaten digital bestätigt. Netzwerkadministratoren, z. B. die IT-Abteilung eines Unternehmens, können ebenfalls digitale Signaturen ausgeben.

Eine CSR enthält die Kennungsdaten und den öffentlichen Schlüssel eines Zertifikats. CSRs werden an eine anerkannte CA gesendet, die dem Zertifikat eine digitale Signatur hinzufügen und es vollständig zurücksenden.

Arbeiten mit einer Zertifizierungsstelle

Wenn Sie eine CSR erstellen, müssen Sie die CSR an eine anerkannte CA senden, um eine digitale Signatur zu erhalten. Ein Netzwerkadministrator bevorzugt möglicherweise eine CA oder signiert die CSR selbst digital. Die CA erstellt ein gültiges Zertifikat zur Verwendung mit dem Webserver.

Weitere Informationen

Konfigurieren von Sicherheitseinstellungen für Webdienste